©2023云安全联盟大中华区版权所有 1 ©2023云安全联盟大中华区版权所有 2CSA金融服务行业工作组官网地址是： https://cloudsecurityalliance.org/research/working-groups/financial-services/ @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印， 或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信 息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得 删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于 云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 3 ©2023云安全联盟大中华区版权所有 4致谢 报告支持单位 绿盟科技集团股份有限公司（以下简称绿盟科技）， 成立于2000年4月，总部位于北京。公司于2014 年1月29日在深圳证券交易所创业板上市，证券 代码：300369。绿盟科技在国内设有50余个分支 机构，为政府、金融、运营商、能源、交通、科 教文卫、企业等各大行业用户与各类型企业用户 提供全线网络安全产品、全方位安全解决方案和 体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立了海 外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 工商银行软件开发中心1996年6月在珠海成 立，主要负责全行应用研发、新技术研究、技 术管理、服务支持、生产运维、人才培养任务， 目前分布在珠海、广州、上海、北京、杭州、 成都、西安等7个城市办公。成立以来，软件 开发中心聚焦科技创新能力提升，深耕行业应 用，赋能业务发展，先后自主研发了4代核心 银行系统，建设了24条业务线，涵盖195个 业务系统，构建了支撑全集团经营管理、服务 境内外客户、丰富完善的全功能应用产品体系。获得人行科技发展奖169项，人工智能、隐私 计算、分布式技术能力获得行业最高评价，以科技创新助力全行高质量发展。 绿盟科技和中国工商银行是CSA大中华区的理事单位，支持该报告内容的翻译，但不影响CSA 研究内容的开发权和编辑权。 ©2023云安全联盟大中华区版权所有 5英文版本编写专家 作者：HillaryBaron TroyLeach JohnYeoh 贡献者：JoshBukerDaniele Catteddu RyanGifford JezGoldstone SeanHeide ErikJohnson AlexKaluza StephenLumpe(graphicdesign) VinayPatel 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正！联系邮箱 research@c-csa.cn；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6序言 云计算技术的快速发展，如云原生、无服务器等概念层出不穷，催生了很多新的云服务模式， 也带来了诸多安全风险，对云计算安全的关注将成为持续的话题。 同时，各行各业也开始大量采用云计算基础设施，构建基于云原生的服务。特别是金融行业， 云优先（CloudFirst）和只有云（CloudOnly）已经成为企业构建新业务的策略。云计算业 务日益增加的使用，与不断增加的监管要求和有限安全投入之间形成了客观上的冲突。 对于企业的负责人而言，需要关注云安全新技术的发展，例如人工智能、量子计算和DevSecOps； 又要借鉴头部企业在云化趋势下安全的最佳实践，包括人员、流程和技术层面所需要做的工作。 本白皮书通过对金融行业企业的安全相关负责人调查，给出了近年来的云环境下金融服务现状 和机遇，以及CSA后续的行动计划。相信读者会从中受到启发，更好地执行适合自身的云化策 略和行动。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有 7前言 云安全联盟（CSA）是一个非营利性组织，其宗旨在于广泛推广确保云计算和IT技术中的网络 安全最佳实践。CSA同时也向业界相关成员提供对其他各类网络安全问题的指导。CSA的成员 包括安全从业人员、安全厂商及其他专业团体。CSA的主要目标之一是对信息安全趋势进行调 查与评估工作。这些调查向组织提供当前信息安全技术成熟度、意见、兴趣和趋势等各类信息。 CSA的金融服务社区的成员来自全球各类银行、金融科技公司、支付处理机构、金融咨询机构、 保险公司、金融监管机构、数据保护机构和其他国家监管机构。随着金融业对云的使用持续增 长，其所带来的挑战与关注度也在同步上升。过去几年中，CSA为了更好地了解金融业对云计 算技术的现状与挑战，从而进行了行业调研。今年研究的目标是为了更好地了解如下内容： ●从金融机构的角度分析云解决方案的采用水平和需求，与2019-2020年进行的调查进 行比较。 ●当前面临的挑战以及与云服务供应商的合作。 ●识别在保护金融数据及相关资产安全的云服务中创建指引的新机遇。 ©2023云安全联盟大中华区版权所有 8目录 致谢............................................................................................................................................4 序言............................................................................................................................................6 前言............................................................................................................................................7 摘要..........................................................................................................................................10 调查方法..................................................................................................................................11 调查结果..................................................................................................................................12 日益增长的云服务使用情况..............................................................................................12 金融服务多云化是当前现状..........................................................................................14 零信任为金融云访问增加完整性..................................................................................15 加强云的数据管理能力..................................................................................................16 业务连续性对云端业务至关重要..................................................................................16 满足云端监管要求..............................................................................................................18 数据隐私、主权和本地化..............................................................................................19 监管机构对云服务审计实践的理解..............................................................................20 CSA云控制矩阵建立统一的云安全方法.......................................................................22 通过云硬件安全模块和机密计算加强密钥管理...............................